Home » Cloud-System » Neues EU-Datenschutzrecht ab Mai 2018 – Das sind die 6 wichtigsten To Dos für Onlinehändler
DSGVO

Neues EU-Datenschutzrecht ab Mai 2018 – Das sind die 6 wichtigsten To Dos für Onlinehändler

Die Datenschutzgrundverordnung (DSGVO) tritt zum 25.05.2018 in allen Mitgliedsländern der Europäischen Union in Kraft. Soweit danach noch nationale Regelungen möglich sind, hat Deutschland bereits ein neues Bundesdatenschutzgesetz (BDSG) verabschiedet, das ebenfalls zum 25.05.2018 in Kraft tritt. Es gibt weitreichende Änderungen, um die sich Onlinehändler, die sich bislang noch gar nicht mit dem Thema beschäftigt haben, jetzt dringend kümmern müssen. Denn: Während Datenschutz bislang eher unter dem Motto „nice to have“ gehandhabt wurde, drohen ab kommendem Jahr extrem hohe Bußgelder für denjenigen, der sich nicht an die Vorschriften hält. Je nach Verstoß können hier zukünftig bis zu 10 Mio. EUR bzw. 20 Mio. EUR oder bis zu 4 % des gesamten, weltweit erzielten Jahresumsatzes verhängt werden.

 

1. To do: Führen eines Verfahrensverzeichnisses

Bis 25.05.2018 muss ein „Verzeichnis von Verarbeitungstätigkeiten“ vorhanden sein, dass auf Anfrage, etwa im Rahmen eines Audits der Datenschutzbehörde, vorgelegt werden kann. Es gibt zwar eine Einschränkung der Dokumentationspflichten für kleine Unternehmen mit weniger als 250 Mitarbeitern, u. a. wenn die Verarbeitung personenbezogener Daten nur gelegentlich erfolgt. Davon kann jedoch auch selbst bei kleinen Shopbetreibern nicht die Rede sein, denn sie verarbeiten täglich die Bestelldaten ihrer Kunden. Auch sie müssen daher künftig alle Systeme und Verfahren auflisten, mit denen personenbezogene Daten verarbeitet werden. Beispiele: E-Mail-Software, CRM, Newsletter-Systeme, Analyse-Systeme (IP-Adresse!), Personal-Management-Systeme. Es muss u. a. aufgeführt werden, was der Zweck der jeweiligen Datenverarbeitung ist, welche Kategorien von betroffenen Personen und personenbezogenen Daten es gibt, welche Fristen für die Löschung der Daten vorgesehen sind, ob Daten in Drittstaaten übermittelt werden und welche technischen und organisatorischen Maßnahmen die Datensicherheit gewährleisten.

 

2. To do: Anpassen der Auftragsdatenverarbeitungsverträge

Beispiele für Auftragsverarbeitungen sind etwa die Nutzung von Cloud-Anwendungen wie Lohnbuchhaltung, CRM, Mailing-Systeme, eines externen Call-Centers für den Kundenservice, Durchführung von Gewinnspielen über eine externe Agentur oder das Managed Hosting von Webseiten/Onlineshops oder auch von Google Analytics. Immer dann, wenn die eigenen Kundendaten an Dritte zur Verarbeitung weitergegeben werden, ist auch nach jetzigem Recht bereits ein Auftragsdatenverarbeitungsvertrag nach § 11 BDSG abzuschließen. Die bisherige „Auftragsdatenverarbeitung“ wird jetzt zur „Auftragsverarbeitung“ und bringt neue Pflichten auch für den Auftragsverarbeiter mit sich. Während früher ein Weisungsverhältnis zwischen dem Auftraggeber und dem Auftragnehmer bestand und der Auftraggeber der verantwortliche „Herr der Daten“ war, ist jetzt nur noch ein Auftragsverhältnis über die Datenverarbeitung erforderlich. Der Auftragnehmer ist nicht mehr weisungsgebunden, hat jetzt jedoch eigene Pflichten – auch gegenüber der Datenschutzbehörde – und haftet selbst neben dem Auftraggeber.
Sämtliche bisherigen Auftragsdatenverarbeitungsverträge sind auf die neuen Pflichten und technischen und organisatorischen Maßnahmen hin zu aktualisieren. Die DSGVO sieht dazu auch Standardvertragsklauseln vor, die jedoch noch nicht vorliegen. Shopbetreiber können aber bereits jetzt schon einmal auflisten, welche Verträge es bei ihnen gibt und auch schon die vorhandenen Zertifizierungen überprüfen.

 

3. To do: Überprüfung aller Erlaubnistatbestände und Einwilligungsprozesse

Wie bisher darf eine Datenverarbeitung nur erfolgen, wenn ein sog. Erlaubnistatbestand greift. Das können sein:

  • die Einwilligung des Betroffenen,
  • das berechtigte Interesse des Unternehmers,
  • die Erfüllung vertraglicher Pflichten,
  • die Beantwortung vorvertraglicher Anfragen,
  • die Erfüllung gesetzlicher Verpflichtungen.

Wie bisher dürfen Daten zur Erfüllung vertraglicher Pflichten wie die Abwicklung einer Bestellung ohne besondere Einwilligung des Kunden verarbeitet werden. Gleiches gilt für die Beantwortung vorvertraglicher Anfragen, wenn etwa ein Interessent sich über das Kontaktformular der Webseite meldet. Die Erfüllung gesetzlicher Pflichten betrifft etwa die steuerrechtlichen Aufbewahrungspflichten. Zu Marketingzwecken dürfen Daten bei Vorliegen einer Einwilligung oder einem berechtigten Interesse verarbeitet und genutzt werden. Das berechtigte Interesse wird aber einen weiteren Anwendungsbereich haben als das bisher nach deutschem Recht der Fall ist. So erkennt die DSGVO beispielsweise die Werbeinteressen der Onlinebranche als ein berechtigtes Interesse an. In einem Erwägungsgrund wird ausdrücklich klargestellt, dass die Durchführung von Direktmarketing als berechtigtes Interesse betrachtet werden kann. Neben dem Einwilligungserfordernis wird also das „berechtigte Interesse“ an der Datenverarbeitung praktisch eine größere Rolle im Marketing spielen. Aber: Das Wettbewerbsrecht gilt weiterhin. E-Mail-Marketing wird daher zukünftig trotzdem immer nur mit vorherigem, ausdrücklichem Einverständnis des Betroffenen zulässig sein und kann nicht einfach auf das berechtigte Interesse gestützt werden.

 

4. To Do: Anpassung der Einwilligungen

Einwilligungen können zukünftig formlos mündlich, elektronisch oder schriftlich eingeholt werden. Allerdings müssen Unternehmen das Vorliegen einer Einwilligung künftig nachweisen können. Sie müssen also schriftlich oder digital protokolliert werden. Digitale Einwilligungen sollten mit einer nicht vorab angeklickten Checkbox mit Double-Opt-In eingeholt werden. Außerdem muss der Betroffene bei der Einwilligung auf sein Widerrufsrecht hingewiesen werden.

 

5. To do: Stellen Sie sich auf die Betroffenenrechte ein

Nutzer und Kunden sind über eine Datenschutzinformation im Shop über ihre Betroffenenrechte zu informieren. Sie haben ein Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Widerspruchs- oder ggf. Widerrufsrecht sowie das Recht auf Übertragbarkeit der Daten und das Recht auf Beschwerde bei einer Aufsichtsbehörde. Diese Rechte sind nicht alle neu. Neu sind allerdings die Konsequenzen, wenn der Shopbetreiber nicht innerhalb einer Frist von einem Monat auf entsprechende Anfragen von Betroffenen reagiert, denn dann können Bußgelder verhängt werden. Es ist daher erforderlich, alle Mitarbeiter für das Thema zu sensibilisieren, denn es  muss jedem klar sein, dass jede Anfrage die einmonatige Frist in Gang setzt. Es sollten in größeren Unternehmen daher Organisationsanweisungen formuliert werden. Eine weitere Möglichkeit ist auch, ein Onlineformular für die Anfragen auf die Webseite zu stellen, zum Beispiel direkt in die Datenschutzinformation, um eingehende Anfrage möglichst zu kanalisieren. Betroffene sind allerdings nicht verpflichtet, das Formular zu nutzen. Auch auf E-Mail-Anfragen oder Anfragen per Telefon oder Fax muss daher fristgerecht reagiert werden.

 

6. To Do: Anpassung der Rechtstexte

Es bestehen teilweise neue Informationspflichten für Shopbetreiber als „Verantwortliche“, die eine Anpassung der Werbe-Einwilligungstexte, der Datenschutzinformation, der Allgemeinen Geschäftsbedingungen und der sonstigen Informationstexte im Shop erforderlich machen können. Der Kunde ist zu informieren über die Zwecke und die jeweilige Rechtsgrundlage für die Datenverarbeitung, ob ein Datentransfer in Drittstaaten erfolgt einschließlich der Angabe der jeweiligen Rechtsgrundlage, die Dauer der Datenspeicherung, das Bestehen des Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Widerspruchs- oder ggf. Widerrufsrecht sowie das Recht auf Übertragbarkeit der Daten und das Recht auf Beschwerde bei einer Aufsichtsbehörde.

Hinweis: Mehr zur Datenschutzgrundverordnung im Bezug auf Onlineshops, E-Commerce und Magento finden Sie in unserem Blog in der Rubrik DSGVO.

 

Ihr Kontakt

Hartwig Göttlicher
Hartwig Göttlicher
Head of Business Development
Was bedeutet das IT-Sicherheitsgesetz für den Onlinehandel?
IT Sicherheitesgesetz

Am 25. Juli trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Es soll die Sicherheit von Read more

Worauf müssen Shopbetreiber nach der EU-Datenschutzgrundverordnung achten?
B2B Abmahnungen

Am 25. Mai ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten, mit der das bisherige Datenschutzrecht auf EU-Ebene reformiert wird. Read more

Magento-Potenzial nutzen – nahtlose Integration von Adobe Analytics und Adobe Target
Im Mittelpunkt steht eine PC-Tastatur mit einer Auswahl an Produkten darüber. Die Hand eines Menschen – rechts im Bild – berührt für eine Auswahl das mittlere Produktbild.

Erfahren Sie, wie Adobe Analytics und Target nahtlos in Magento integriert werden, um Personalisierung und ROI zu maximieren. Lesen Sie Read more

Black Friday, Weihnachten & Co.: So werden Onlineshops fit für Kampagnen
Laptop- und Tablet-Bildschirme mit Aktionen zu Black Friday und Weihnachten und einem mit Geschenken gefüllten Einkaufswagen.

Erfahren Sie, wie Onlineshops für Kampagnen und Aktionszeiträume wie Black Friday und das Weihnachtsgeschäft vorbereitet werden können. Nützliche Tipps für Read more

Kaufverhalten im E-Commerce: Wie ticken die Generationen beim Onlineshopping?
Personen unterschiedlichen Alters stehen nebeneinander und haben Einkaufstüten, einen Einkaufswagen und Laptops bei sich.

Wie unterscheiden sich die Generationen in ihrem Kaufverhalten und was bedeutet das für Onlinehändler und ihre Zielgruppe? Im Blogbeitrag klären Read more

Interview: Headless CMS auf dem Vormarsch
Ein PC-Bildschirm zeigt einen Kopf-Umriss. Daneben steht ein weiterer PC-Bildschirm, der eine Website zeigt.

Im ersten Teil unserer Blogreihe erläutern wir die Vorteile des Headless CMS-Ansatzes und was Unternehmen bei der System-Auswahl beachten sollten.

UX- & UI-Trends 2023: Ein Blick in die Welt des Webdesign
Smartphone mit Schriftzug "UI / UX" und seitliche Kommentarblasen

Ein professionelles Webdesign hat im E-Commerce erheblichen Einfluss auf den Umsatz. Wir berichten im Blogbeitrag über prägende UX- und UI-Trends.

Kunden binden durch Abo Commerce
Teaser Abo Commerce

Abo-Modelle im E-Commerce werden immer beliebter. Kein Wunder, denn Kunden und Onlinehändler profitieren beide davon. Was macht Abo Commerce erfolgreich?

Über den Autor